Esitlus laaditakse üles. Palun oodake

Esitlus laaditakse üles. Palun oodake

Turbe õigusaspektid. Isikuandmete kaitse

AvaldatudSabrina Williamson

Seotud esitlused

Teema esitlus: "Turbe õigusaspektid. Isikuandmete kaitse"— Esitluse väljavõte:

1 Turbe õigusaspektid. Isikuandmete kaitse
Andmeturve ja krüptoloogia, õhtustele tudengitele Valdo Praust 20. märts 2018

2 Peamised seadused, mis reguleerivad andmeturvet
Avaliku teabe seadus – reguleerib avaliku sektori andmekogude olukorda, selle alusel on kehtestatud mh ka ISKE ja turvaline andmevahetuskeskkond X-tee). Kunagi täitis sama rolli andmekogude seadus E-identimise ja e-tehingute usaldusteenuste seadus – reguleerib kõike seda, mis teeb digisignatuurist õiguslikus mõttes digiallkirja, põhineb vastaval eurodirektiivil. Kuni 2016 täitis sama rolli digitaalallkirja seadus Isikuandmete kaitse seadus mida asendab 2018.a. kevadest uus otsekohalduv Euroopa Liidu isikuandmete kaitse üldmäärus – reguleerivad isikuandmetega ümberkäimise korda 2

3 Avaliku teabe seadus Avaliku teabe seaduse põhieesmärk on on tagada üldiseks kasutamiseks mõeldud teabele avalikkuse ja igaühe juurdepääsu võimalus, lähtudes demokraatliku ja sotsiaalse õigusriigi ning avatud ühiskonna põhimõtetest, ning luua võimalused avalikkuse kontrolliks avalike ülesannete täitmise üle. Täiendavalt reguleerib ta avaliku sektori (riik + omavalitsused) andmekogude asutamise ja haldamise alused ning järelevalve andmekogude haldamise üle Varem tegeles avaliku sektori andmekogudega andmekogude seadus, nüüd seda enam ei ole 3

4 Andmekogu Andmekogu (ehk register) on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks Andmekogu on lihtsustatult võttes andmebaas, millele on lisatud halduslikud ja õiguslikud komponendid 4

5 Vastutav ja volitatud töötleja, I
Andmekogu vastutav töötleja (haldaja) on riigi- või kohaliku omavalitsuse asutus, kes korraldab andmekogu kasutusele võtmist, andmekogu pidamist ja andmete töötlemist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest Andmekogu vastutav töötleja võib volitada andmete töötlemise ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja poolt ettenähtud ulatuses. Selline subjekt on volitatud töötleja 5

6 Vastutav ja volitatud töötleja, II
Vastutavaks töötlejaks on andmekogude seaduse põhjal andmekogu omanik. Riigi või kohaliku omavalitsuse andmekogu vastutava töötleja õiguste teostaja määratakse seaduses või seaduse alusel Volitatud töötleja on isik, kes peab andmekogu või töötleb andmeid andmekogu vastutava töötleja tellimusel Volitatud töötleja on seega andmekogu tehniline pidaja 6

7 Riigi infosüsteem Riigi infosüsteemi kuuluvad andmekogud, mis on riigi infosüsteemi andmevahetuskihiga liidestatud ja riigi infosüsteemi haldussüsteemis registreeritud, ning andmekogude pidamist kindlustavad süsteemid Andmekogude pidamiseks kehtestab Vabariigi Valitsus määrusega järgmised kindlustavad süsteemid: klassifikaatorite süsteem geodeetiline süsteem aadressiandmete süsteem infosüsteemide turvameetmete süsteem (nn ISKE koos määrusega) infosüsteemide andmevahetuskiht (nn X-tee) riigi infosüsteemi haldussüsteem 7

8 X-tee projekt: olemus Infosüsteemide andmevahetuskiht (edaspidi X-tee) on asutuste ja isikute vahelist turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust ning riigi infosüsteemile turvalist juurdepääsu võimaldav tehniline infrastruktuur ja organisatsiooniline keskkond Tehniliselt koosneb X-tee kesksüsteemist ja põhineb andmete edastamisel kokkulepitud protokolli põhjal üle turvalise TLS-protokolli. X-tee liideseks liidestuva infosüsteemi juures on turvaserver, mis peab ühendust teiste turvaserveritega 8

9 Milleks isikuandmete töötlemisele piirangud?
Et kaitsta inimese eraelu puutumatust: kaasaja digitaalne ja Internetiga ühendatud maailm võimaldab erinevais paigus olevatest andmetest ülikiirest otsimist ning tulemuste võrdlemist ning analüüsi – süüdi on digitaalteabe head omadused. Kui ei saa kaitsta tehniliste vahenditega, tuleb kaitsta seaduse jõuga Paberkandjal andmete maailmas ei olnud see teema aktuaalne, kuna puudusid efektiivsed teabe korrastamise, edastamise ja süstematiseerimise vahendid 9

10 Strasbourg’i konventsioon isikuandmete kaitse alusena
28. jaanuar 1981, ETS 108 Konventsiooni peamiseks eesmärgiks on tagada igale isikule, olenemata kodakondsusest või alalisest elukohast, tema põhiõiguste ja vabaduste austamine. Eriti on rõhutatud isikuandmete automatiseeritud töötlemisel isiku privaatsuse tagamist On Riigikogu poolt ratifitseeritud (RT II, 2001, 1, 3) Sellest konventsioonil algas isikuandmete kaitse tava Euroopas 10

11 Eurodirektiivid 95/46/EU ja 2016/679
Täielik nimetus: ”Euroopa Parlamendi ja Nõukogu direktiiv 95/46/EU üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta” On vastu võetud Euroopa Parlamendi ja Euroopa Liidu Nõukogu poolt 24. oktoobril 1995 Sätestab isikuandmete kaitse head tavad Euroopas, mis on üle võetud sh Eesti isikuandmete kaitse seaduses 2016. aasta kevadel asendas vana direktiivi uus isikuandmete kaitse üldmäärus 2016/679, mis jõustub Eestis aasta kevadel, asendades senise isikuandmete kaitse seaduse 11

12 Isikuandmete kaitse seadus
Isikuandmete kaitse seaduse eesmärk oli kaitsta isikuandmete töötlemisel füüsilise isiku põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele Seadus seab isikuandmete töötlemisele terve hulga piiranguid, tingimusi ja kohustusi Seaduse algne versioon pärines aastast ja põhines 1995.a. euromäärusel Hetkel (alates janauarist 2008) kehtib seaduse kolmas variant: teine variant seadusest kehtis ajavahemikul ;seaduse kolme versiooni paragrahvid ja nende numeratsioon omavahel ei kattu Muutub kehtetuks 2018.a. mais seoses uue otsekohalduva euromäärusega 2016/679 12

13 Isikuandmete kaitse uue üldmääruse põhieesmärgid, I
Peaeesmärgiks on anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle. Senised õigusaktid pärinesid ajast, mil netiteenused olid palju algelisemad Esimeseks kõrvaleemärgiks oli vähendada jäörelevalveasutuste halduskoormust ja loobuda üldisest isikandmete töötlemise registreerimisest, asendades selle muude mõjusate vahenditega

14 Isikuandmete kaitse uue üldmääruse põhieesmärgid, II
Teiseks kõrvaleemärgiks oli ühtlustada isikuandmete kaitse protsesse ja rutiine kogu Euroopa Liidus, mis seni on olnud liikmesriigiti kohati üsna erinevad Millegipärast on määruses välditud füüsilise isiku (andmesubjekti) privaatsuse terminit, mis varem oli sellistes dokumentides aukohal. Selle asemel räägitakse andmesubjektide õigustest ja vabadustest

15 Muutuvad ja lisanduvad asjad Eesti rahvusliku isikuandmete kaitse seaduse valguses), I
Delikaatsete isikuandmete asemel tuleb kasutusse isikuandmete eriliigi mõiste Täiesti uuena on lisandunud isikuandmete vastuvõtjate mõiste, Eesti õiguspraktikas seni levinud isikuandmete saaja ja edastamise mõisted lähevad vast hingusele Isikuandmete töötlemise registreerimine ei tähenda enam teabe edastamist Andmekaitse Inspekstioonile, vaid hoopiski teatud teabe hoidmist töötleja enda juures

16 Muutuvad ja lisanduvad asjad Eesti rahvusliku isikuandmete kaitse seaduse valguses), II
Tekib andmekaitsealase mõjuhinnangu kohustus teatud juhtudel (kui võimalik mõju isiku põhivabaduste rikkumisele on suur) Avalikus sektoris muutub andmekaitseametniku roll kohustuslikuks (senini on vabatahtlik, alternatiiv registreerimisele) Tekib andmekaitsealane sertifitseerimine ja vastavad asutused, see hakkab asendama täna Eestis kehtivat registreerimist järelevalveasutuses Täpsustatakse isikuandmete edastamise korda ja piiranguid kolmandatesse riikidesse

17 Mis on isikuandmed? Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta Tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal On olemas nn kaudse tuvastamise põhimõte

18 Millal määrust ei kohaldata?, I
Määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda Määrust ei kohaldata, kui isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis puudutab erisätteid ühise välis- ja julgeolekupoliitika kohta)

19 Millal määrust ei kohaldata?, II
Määrust ei kohaldata, kui Isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus Isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil

20 Mis on isikuandnmete pseudonümiseerimine?
Isikuandmete pseudonümiseerimine (obfuskeerimine) on isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga See toimib (ja tagab anonümiseerimise) tingimusel, et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid

21 Mittetäielik anonümiseerimine - peapõhjus
Põhine asjaolul, et tihti on väliseid faktoreid/andmeid lisades võimalik isikut siiski üheselt tuvastada Tekitab faktiliselt isikuandmed olukordades, kus rangelt tehnilises mõttes ei tohiks neid olla, kuna isikut üheselt identifitseerivad andmed (nimi, isikukood) on eemaldatud Tavaliselt hindab (turva)analüütik seda ohtu oma kogemusele (“kõhutundele”) toetudes

22 Vastumeede mittetäielikule anonümiseerimisele – viie printsiip (N printsiip)
On vajalik põhjusel, et tihti on väliseid faktoreid/andmeid lisades võimalik isikut siiski üheselt tuvastada Põhineb tehnilisel kontrollil, et andmeid edastatakse või väljastatakse ainult siis, kui eelnevalt andmebaasis kontrollitakse, et konkreetsetele omaduste (parameetrite) komplektile vastab rohkem kui viis (N) inimest Kui printsiip pole täidetud, siis eemaldatakse/üldistatakse tavaliselt parameetreid ja väljastatakse peale uut kontrolli Pole euromääruse osa, vaid tehniline meede!

23 Mis on isikuandmete töötlemine?
Isikuandmete töötlemine on isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum Toimingute näited: kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine

24 Isikuandmete vastutav töötleja
Isikuandmete vastutav töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid Tihtipeale vastutav töötleja ise andmeid tehniliselt ei töötle, vaid volitab selle volitatud töötlejale. Neid võib ühel andmekogul olla mitu (sel juhul tuleb nende vastutuse piirid tehniliselt väga selelt kindlaks määrata)

25 Isikuandmete volitatud töötleja
Isikuandmete volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel Volitatud töötleja ja selle õigused on määratud kas õigusaktiga vüi siis vastutava töötlejaga sõlmitud lepinguga Volitatud töötleja ei tohi teha andmetega midagi, mis väljub volitatud töötlemise lepingu raamest Kõik andmetöötluslepingud peavad vastama üldmäärusele, sätestades volitatud töötleja vastutuse. Volitatud töötleja peab üle vaatama rikkumiste, andmeturbe ja töötluse registreerimise juhised ja protseduurid, et need oleks vastavuses nõuetega

26 Kolmas isik isikuandndmete töötlemisel
Kolmas isik isikuandmete töötlemise vaates on see füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, kes ei ole andmesubjekt, vastutav töötleja, volitatud töötleja ega isik kes võib isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses Kuidas on kaudse alluvuse või allhanke või lepingutega? Vast tuleb läheneda individuaalselt

27 Isikuandmete töötlemise kuus aluspõhimõtet, I
Läbipaistvus. Töötlemine peab olema seaduslik, õiglane ja andmesubjektile läbipaistev Seaduslikkus ja eesmärgipärasus. Isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus. Eranditeks on siin avalikes huvides toimuv arhiveerimine, teadustöö, ajaloouuriungud või statistilised eesmärgid Minimaalsus. Isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt. (võimalikult väheste andmete kogumine)

28 Isikuandmete töötlemise kuus aluspõhimõtet, II
Õigsus. Isikuandmed on õiged ja vajaduse korral ajakohastatud. Kasutada tuleb kõiki mõistlikke meetmeid, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata

29 Isikuandmete töötlemise kuus aluspõhimõtet, III
Isikustatult säilitamise piirang. Isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse. Isikuandmeid võib isikustatavalt kauem säilitada vaid juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse asjakohaseid meetmeid

30 Isikuandmete töötlemise kuus aluspõhimõtet, IV
Turvalisus (ka usaldusväärsus ja konfidentsiaalsus). Isikuandmeid töödeldakse viisil, mis tagab nende asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke

31 Läbipaistvus Läbipaistvus (isikuandmete kaitse üldmääruse kontekstis) tähendab, et isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud Vajaduse korral soovitatakse täiendavalt kasutada visualiseerimist Väga vajalik on läbipaistvus olukordades, kus kasutatava tehnoloogia keerukuse tõttu on andmesubjektil raske teada saada ja mõista, kas kogutakse tema isikuandmeid, kes neid kogub ja millisel eesmärgil Laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles

32 Millal on isikuandmete töötlemine seaduslik?, I
Kuus seadusliku töötlemise põhilist varianti: Andmesubjekt (isik) on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil Isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele Isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks

33 Millal on isikuandmete töötlemine seaduslik?, II
Kuus seadusliku töötlemise põhilist varianti: Isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks Isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks

34 Millal on isikuandmete töötlemine seaduslik?, III
Kuus seadusliku töötlemise põhilist varianti: Isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral See variant on välistatud juhtumitel, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid. Eriti tuleb eranditena vaatluse alla võtta sellised juhtumid, kui andmesubjekt on laps.

35 Andmesubjekti nõusolek, I
Andmesubjekti nõusolek oma isikuandmete töötlemiseks on vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv

36 Andmesubjekti nõusolek, II
Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku isikuandmine andmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks

37 Isikuandmete eriliigid
Praegu käibel olevate delikaatsete isikuandmete asemel tuleb kasutusse isikuandmete eriliikide mõiste. Need on defineeritud väga lakooniliselt kaheksa liigina: Rassiline või etniline päritolu Poliitilised vaated Usulised või filosoofilised veendumused Ametiühingusse kuulumine Geneetilised andmed Füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed Terviseandmed Andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta

38 Kuidas võib töödelda eriliikide alla lahterdatavaid isikuandmeid?
Isikuandmete eriliikide töötlemine on sätestatud ülejäänud isikuandmetest erineva reeglistuga. Lubatud on vaid kümme spetsiaalselt sätestatud töötlemisjuhtumit Nn “tavapäraste” isikuandmete kuus põhireeglit isikuandmete eriliikide korral ei kehti EU liikmesriigid võivad rakendada isikuandmete eriliikide korral täiendavaid piiranguid

39 Isikuandmete eriliikide kümme lubatavat töötlemisjuhtumit, I
Andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil. See juhtum ei kehti olukorras, kus EU või liikmesriigi õiguse kohaselt ei saa andmesubjekt nimetatud keeldu tühistada Töötlemine on vajalik seoses töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega (kuivõrd see on vastava valdkonna kollektiivlepinguga millega kehtestatakse asjakohased meetmed andmesubjekti põhiõiguste ja huvide kaitseks)

40 Isikuandmete eriliikide kümme lubatavat töötlemisjuhtumit, II
Töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve ning andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma Andmeid töödeldakse poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega ühenduse õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning tingimusel, et töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või seotud isikuid ning isikuandmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta

41 Isikuandmete eriliikide kümme lubatavat töötlemisjuhtumit, III
Töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt ise avalikustanud Töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni Töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu või liikmesriigi õiguse alusel. Töötlemine peab sel juhul olema proportsionaalne saavutatava eesmärgiga, austama isikuandmete kaitse õiguse olemust ja tagada tuleb sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks

42 Isikuandmete eriliikide kümme lubatavat töötlemisjuhtumit, IV
Töötlemine on vajalik andmesubjekti tervisega tagamisega seotult. Täpsemalt käivad siia alla ennetava meditsiini või töömeditsiiniga seotud põhjusted, töötaja töövõime hindamised, meditsiinilise diagnoosi panemised, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamised või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamised. Siin tuleb tugineda liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusele kaitsemeetmed on kehtestatud. Samuti peab olema siin tagatud ametisaladuse hoidmise kohustus.

43 Isikuandmete eriliikide kümme lubatavat töötlemisjuhtumit, V
Töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul. Siin tulkeb tugineda tuginedes liidu või liikmesriigi õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks Töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Siin peab töötlemine olema proportsionaalne saavutatava eesmärgiga, austama isikuandmete kaitse õiguse olemust ning tagatud peavad olema sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks

44 Töötleja kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest Vastutav töötleja edastab teabe isikuandmete parandamise, kustutamise või isikuandmete töötlemise piiramise kohta kõigile vastuvõtjatele, kellele isikuandmed on avaldatud Selline teabe edastamine pole kohustuslik, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest vaid andmesubjekti taotlusel

45 Andmesubjekti õigus “olla unustatud” ja selle tähendus andmetöötleja jaoks, I
Töötleja peab kustutama põhjendamatu viivituseta andmesubjekti isikuandmed järgmistel juhtumitel: Andmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud Andmesubjekt võtab töötlemiseks antud nõusoleku tagasi ning puudub muu õiguslik alus isikuandmete töötlemiseks Andmesubjekt esitab vastuväite isikuandmete töötlemise ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid

46 Andmesubjekti õigus “olla unustatud” ja selle tähendus andmetöötleja jaoks, II
Töötleja peab kustutama põhjendamatu viivituseta andmesubjekti isikuandmed järgmistel juhtumitel: Isikuandmeid on töödeldud ebaseaduslikult Isikuandmed tuleb kustutada selleks, et täita töötleja suhtes mingit õiguslikku kohustust Isikuandmeid koguti seoses infoühiskonna teenuste pakkumisega

47 Millal ei rakendu õigus “olla unustatud”, I
Kuus juhtumit: Kui isikuandmete töötlemine on vajalik sõna- ja teabevabaduse õiguse teostamiseks; Kui isikuandmete töötlemine oin vajalik selleks, et täita töötleja suhtes õigusega sätestatud kohustust, mis, mis näeb omakorda ette isikuandmete töötlemise Kui isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või töötleja avalikku võimu realiseerimiseks Kui isikuandmete töötlemine on vajalik rahvatervise valdkonnas avaliku huviga seotud põhjustel

48 Millal ei rakendu õigus “olla unustatud”, II
Kuus juhtumit: Kui isikuandmete töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil (kustutamine muudaks töötlemise eesmärgi saavutamise võimatuks või häiriks seda suurel määral Kui isikuandmete töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks

49 Kaheksa kohustuslikku nõuet isikuandmete volitatud töötlejale, I
Isikuandmeid võib volitatud töötleja töödelda ainult vastutava töötleja dokumenteeritud juhiste alusel (erandi võib teha töötlemisele õigusakti põhjal) Volitatud töötleja kohustus on tagada, et isikuandmeid töötlevad isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib muu asjakohane põhikirjajärgne konfidentsiaalsuskohustus Volitatud töötleja on kohustatud jälgima kõiki andmekaitse määruses sätestatud tehnilisi turvameetmeid

50 Kaheksa kohustuslikku nõuet isikuandmete volitatud töötlejale, II
Volitatud töötlejal on lubatud kaasata teisi volitatud töötajaid, kuid sellega kaasneb rida halduslikke turvanõudeid Volitatud töötleja peab võimaluse piires (võttes arvesse isikuandmete töötlemise laadi) aitama vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata andmesubjekti taotliustele teostamiseks Volitatud töötleja peab aitama vastutaval töötlejal täita isikuandmete turvameetmete rikkumiste dokumeteerimisega seotud kohustusi

51 Kaheksa kohustuslikku nõuet isikuandmete volitatud töötlejale, III
Volitatud töötleja peab pärast andmetöötlusteenuste osutamise lõppu kustutama või tagastama vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutama olemasolevad koopiad (välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist) Volitatud töötleja peab tegema vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse

52 Isikuandmete töötlemise registreerimine, I
Isikuandmete töötleja peab enda juures pidama järgmise seitsme valdkonna andmeid dokumenteerituna: Vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed Töötlemise eesmärgid Andmesubjektide kategooriate ja isikuandmete liikide kirjeldus

53 Isikuandmete töötlemise registreerimine, II
Isikuandmete töötleja peab enda juures pidama järgmise seitsme valdkonna andmeid dokumenteerituna: Isikuandmete vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta (teatud juhtumitel ka vastuvõtjate juures rakendatud turvameetmete kirjeldused)

54 Isikuandmete töötlemise registreerimine, III
Isikuandmete töötleja peab enda juures pidama järgmise seitsme valdkonna andmeid dokumenteerituna: Võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad Võimaluse korral enda pool rakendatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. Selle punkti osas on kummalisel kombel Eestis kehtiv isikuandmete kaitse seadus palju rangem, selle dokumnteerimine on seni kohustuslik!

55 Kes peavad määrama andmekaitsespetsialisti (andmekaitseametniku)?
Neli kindlat juhtumit: Kõik avaliku sektori sektori asutused ja/või organid, Eesti vaates ka teised avalike ülesannete täitjad. Erandiks on kohtud Kõik andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine Kõik andmetöötlejad, kelle põhitegevuseks on: andmete eriliikide ulatuslik töötlemine süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine

56 Eesti Andmekaitse Inspektsiooni seisukoht, mis on süstemaatiline ja korrapärane jälgimine
Süstemaatiline jälgimine on jälgimine, mis vastab kolmele kriteeriumile on eelnevalt planeeritud selle läbiviimine on organiseeritud ja metoodiline see on selgelt osa andmetöötleja ärimudelist Korrapärane jälgimine on jälgimine, mis on kas pidev või kindla aja tagant korduv ning ei ole ühekordne toiming

57 Eesti Andmekaitse Inspektsiooni seisukoht, mis on ulatuslik töötlemine ja andmesubjektide ulatuslik jälgimine Viis näidet: Patsientide isikuandmete töötlemine haiglates või tervisekeskustes (v.a. andmete töötlemine üksiku perearsti poolt) Ühistranspordi valideerimislahendused, Kliendiandmete töötlemine pangas või kindlustusettevõttes, Telefoni- või internetiteenuse kasutajate andmete töötlemine, Võrguturbe ettevõtete poolne klientide andmete/logide töötlemine

58 Isikuandmete töötlemise (tehniline) turvalisus, I
Üldmäärus fikseerib kohustuslikult rakendatavaid turvameetmeid neljal tasemel, mida tuleb rakendada vastaval vajadustele: Isikuandmete pseudonümiseerimine ja krüpteerimine; Võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus Võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral Tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks

59 Isikuandmete töötlemise (tehniline) turvalisus, II
Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu Võrreldes Eestis kehtiva isikuandmete kaitse seadusega on ilmutatud kujul välja toomata jäänud juurdepääsuandmete säilitamise nõue – kellele, millal ja mis põhjusel milliseid isikuandmeid edastati. Võib vaid oletada, et see nõue hakkab sisalduma konkreetses toimimisjuhentites, mida aga veel olemas ei ole

60 Andmekaitse järelevalveasutuse teavitamise kohustus isikuandmete töötlemise rikkumisest, I
Vastutaval töötajal on kohustus on rahvuslikku järelevalveasutust teavitada isikuandmete kaitsealastest rikkumistest 72 tunni (kolme ööpäeva) jooksul pärast sellest teada saamist 72 tunni piiri ületamisel tuleb põhjendada, miks teavitati nii hilja Teavitamiskohustus ei kehti juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele

61 Andmekaitse järelevalveasutuse teavitamise kohustus isikuandmete töötlemise rikkumisest, II
Rikkumisest teavitamine peab sisaldama nelja kohustuslikku elementi: Isikuandmetega seotud rikkumise laadi kirjeldust ning (võimaluse korral) rikkumisega seotud asjaomaste andmesubjektide kategooriaid, ligikaudset arvu, samuti isikuandmete asjaomaste kirjete liikeja ligikaudset arvu Andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nime ja kontaktandmeid

62 Andmekaitse järelevalveasutuse teavitamise kohustus isikuandmete töötlemise rikkumisest, III
Rikkumisest teavitamine peab sisaldama nelja kohustuslikku elementi: Isikuandmetega seotud rikkumise võimalike tagajärgede kirjeldust Vastutava töötleja poolt rakendatud või rakendada kavatsevate taastemeetmete kirjeldust (sealhulgas meetmete kirjeldust vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks)

63 Andmesubjekti teavitamise kohustus isikuandmete töötlemise rikkumisest
Andmesubjekti teavitamise kohustus tekib, kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele Andmesubjektile esitatavas teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi koos andmekaitseametniku kontaktandmetega, võimalike tagajärgede kirjeldusega ja tähtsamate taastemeetmetega Teavitamiskohustust ei pea rakendama, kui andmed pole juurdepääsuõiguseta inimesele loetavad (on nt krüpteeritud) suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline see nõuaks ebaproportsionaalseid jõupingutusi (sellisel juhul tehakse avalik teadaanne vms)

64 Andmekaitsealane mõjuhinnang, I
Andmekaitsealane mõjuhinnang tuleb vastutaval töötlejal kohustuslikus korras läbi viia järgmisel kolmel juhtumil: Süstemaatiliselt ja ulatuslikult hinnatakse füüsiliste isikute omadusi ja seda tehakse automaatsel isikuandmete töötlemisel (sh profiilianalüüsil). Lisaks peavad tehtavatel otsustel olema isiku jaoks õiguslikud tagajärjed või need peavad mõjutama isikut samaväärselt oluliselt

65 Andmekaitsealane mõjuhinnang, II
Andmekaitsealane mõjuhinnang tuleb vastutaval töötlejal kohustuslikus korras läbi viia järgmisel kolmel juhtumil: Ulatuslikult töödeldakse isikuandmete eriliike või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid Süstemaatiliselt jälgitakse avalikke alasid Rahvusriikide andmekaitse järelevalveasutusle jääb õigus määrata täiendavalt isikuandmete toimingute tüüpe, mille korral on kas mõjuhinnang lisaks kohustuslik või vastupidi, ei pea mõjuhinnangut tegema

66 Andmekaitsealane mõjuhinnang, III
Andmekaitsealane mõjuhinnang peab kindlasti sisaldama järgmist nelja asja: Isikuandmete töötlemise toimingute ja töötlemise eesmärkide süstemaatilist kirjeldust (sh töötleja huvi) Isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamist (eesmärkide vastu) Andmesubjektide (isikute) õigusi ja vabadusi puudutavate ohtude hinnangut

67 Andmekaitsealane mõjuhinnang, IV
Andmekaitsealane mõjuhinnang peab kindlasti sisaldama järgmist nelja asja: Ohtude maandamiseks kavandatud meetmete kirjeldust (sh tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks, võttes arvesse asjaomaste isikute õigusi ja õigustatud huve) Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud Andmekaitsealane mõjuhinnang on sisuliselt eriomadustega riskianalüüs (infoturbe vaates)

68 Tüüpvaldkondade toimimisjuhendid
Isikuandmete töötlemise tüüpvaldkondade toimimisjuhendite kavandeid võib koostada igaüks, aga need peavad saama andmekaitse järelevalveasutuse heakskiidu. Seejärel muutuvad nad ametlikeks toimimisjuhenditeks, mis on avalikud ja eeskujuks kõikidele töötlejatele Üldjuhul eeldatatakse, et toimimisjuhendeid hakkavad koostama vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused, kuid nende autorite hulka ei ole piiratud

69 Isikuandmete kaitse alane serifitseerimine
Sertifitseerimine saab olema vabatahtlik ja annab ainult mingi vastava märgise, pitseri või sertifikaadi Mingit otsest õiguslikku seotust sertifikaadil ei ole ja seda ei tule. Tõenäoliselt kujunevad ajapikku välja head tavad, mida üks või teine serfitifikaat praktikas tähendavad Tõenäoliselt tekivad lähiajal Andmekaitse Inspektsiooni poolt detailsemad juhised sel alal

70 Isikuandmed vs ISKE: konfidentsiaalsus
Isikuandmete kaitse üldmäärus määrab kindlalt ära isikute ringi, kes võivad isikuandmeid töödelda. Ülejäänud neid töödelda ei tohi Võrreldes seda ISKE konfidentsiaalsusosaklassi definitsioonidega tuleneb, et isikuandmete eriliikide konfidentsiaalsusosaklass peab olema S2. Tavalistel isikuandmetel loetakse baastasemeks üldiselt S1. Äripoole erilised nõuded võivad seda ainult tõsta, mitte langetada 70

71 Isikuandmed vs ISKE : terviklus
Isikuandmete kaitse üldmääruse kohaselt peavad isikuandmed oleva õiged ja vajaduse korral ajakohastatud. Kasutada tuleb kõiki mõistlikke meetmeid, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata ja oleks tagatud akdevaatne seos andmesubjektiga Siit saab sisu osas järeldada (võrrelduna ISKE turvaosaklasside definitsioonidega), et vajalik on vähemalt terviklusosaklass T2 71

Alla laadida ppt "Turbe õigusaspektid. Isikuandmete kaitse"

Seotud esitlused

MSE Soojusmajandus ENERGIA TARBIMINE 2 osa.

MSE Soojusmajandus ENERGIA TARBIMINE 2 osa.
Eesti maaelu arengukava vahehindamine

Eesti maaelu arengukava vahehindamine
Rahvatervise süsteemi kaasajastamine

Rahvatervise süsteemi kaasajastamine
Tere tulemast kogemuskohtumisele!

Tere tulemast kogemuskohtumisele!
Hariduse väljakutsed, üldhariduskoolide võrk ja koolivõrgu programm

Hariduse väljakutsed, üldhariduskoolide võrk ja koolivõrgu programm
Korvpalluri füüsiline ettevalmistus

Korvpalluri füüsiline ettevalmistus
Täiskasvanu kui enesearengu subjekt

Täiskasvanu kui enesearengu subjekt

Seotud esitlused

Google'i reklaam